Статті

Киберпреступники пытаются изменить баланс сил в сфере ИБ

12 апреля, 2017. 09:04 По материалам Fortinet
В результате исследования Fortinet были выявлены динамично развивающиеся направления изощренных атак со стороны созданной кибепреступниками нелегальной экономики, целью которых является технологическая инфраструктура.

Фил Квад (Phil Quade), руководитель по информационной безопасности компании Fortinet

«В настоящее время организации сталкиваются со сложными проблемами в сфере информационной безопасности, в частности, с проблемой быстрого развития угроз. Угрозы становятся все более интеллектуальными, автономными и скрытными. Одновременно с появлением новых угроз возвращаются и старые, обновленные новым функционалом. Кроме того, благодаря доступности инструментов и услуг по разработке угроз, а также потенциальной прибыльности киберпреступлений объем международного теневого рынка достигает десятков миллиардов долларов США. Задача руководителей по информационной безопасности — обеспечить интеграцию и автоматизацию элементов системы безопасности в рамках всех корпоративных сред и устройств, от IoT до облака, а также наладить обмен данными между этими элементами».

Сводка новостей

Компания Fortinet® (NASDAQ: FTNT), мировой лидер в области высокоэффективных решений по обеспечению информационной безопасности, обнародовала основные положения последнего отчета о всемирном исследовании угроз. В результате исследования были всесторонне изучены методики и стратегии, применяющиеся киберпреступниками, а также получены прогнозные показатели возможного ущерба для виртуальной экономики. На вопрос «Какую угрозу можно назвать наиболее существенной?» пока не удается дать ответ, так как наряду с возвращением старых угроз происходят и крупномасштабные автоматизированные атаки. В подробностях ознакомиться с результатами исследования можно в нашем блоге. Ниже приведены основные выводы:

Тенденции развития инфраструктуры и их влияние на угрозы

  • Важно учитывать тенденции развития инфраструктуры и их связь с угрозами. Вредоносное ПО, эксплойты, ботнеты — все эти угрозы появляются отнюдь не в вакууме. По мере развития инфраструктуры выявлять угрозы и предотвращать нарушения становится все сложнее.
  • Согласно данным, объем трафика с шифрованием SSL стабильно держится на отметке около 50% и составляет примерно половину веб-трафика, проходящего через корпоративную сеть. Важно отслеживать трафик HTTPS, так как он обеспечивает конфиденциальность, но в то же время может стать проводником угроз, скрытых в зашифрованных данных. Нередко организации пренебрегают проверкой трафика SSL, так как процедура его открытия, проверки и повторного шифрования сопряжена со значительными нагрузками. В силу этого специалисты вынуждены выбирать между производительностью и безопасностью.
  • Количество облачных приложений на организацию возросло до 63 — около трети от общего количества приложений на организацию. Эта тенденция оказывает существенное влияние на безопасность, так как ИТ-специалистам сложнее отслеживать состояние, использование и доступ к данным, хранящимся в облачных приложениях. Резкого увеличения количества приложений, связанных с социальными сетями, потоковым воспроизведением аудио и видео, а также одноранговыми сеансами, выявлено не было.

Киберпреступники устанавливают контроль над устройствами

  • Устройства IoT чрезвычайно привлекательны для киберпреступников по всему миру. Злоумышленники создают собственные «армии» устройств. Дешевизна организации атак, высочайшая скорость и огромные масштабы — вот основы экосистемы современной киберпреступности.
  • В 4-м квартале 2016 г. отрасль была дестабилизирована утечкой данных Yahoo! и DDoS-атакой на компанию Dyn. В середине квартала рекордные показатели, зафиксированные по результатам обеих атак, были не только превзойдены, но и возросли вдвое.
  • Подключенные к Интернету вещей (IoT) устройства, пораженные ботнетом Mirai, инициировали рекордное количество DDoS-атак. После запуска исходного кода Mirai активность ботнета в течение недели возросла в 25 раз. К концу года активность увеличилась в 125 раз.
  • Исследование связанной с IoT активности эксплойтов в отношении нескольких категорий устройств показало, что наиболее уязвимыми являются домашние маршрутизаторы и принтеры, однако устройства DVR/NVR быстро опередили маршрутизаторы. Количество пораженных устройств этой категории увеличилось более чем на 6 порядков.
  • Большое значение также приобрела проблема вредоносного ПО, поражающего мобильные устройства. Несмотря на то, что этот вид вредоносного ПО занимает лишь 1,7 процента в общем объеме, одна из каждых пяти организаций, сообщивших об атаках с помощью вредоносного ПО, столкнулась с его мобильным вариантом. Практически все эксплойты были разработаны на базе Android. В структуре атак с помощью мобильного вредоносного ПО были выявлены значительные отличия в зависимости от региона: 36 процентов атак приходятся на организации Африки, 23 процента — Азии, 16 процентов — Северной Америки и лишь 8 процентов — Европы. Эти показатели следует учесть при работе с доверенными устройствами в современных корпоративных сетях. 

Преобладание крупномасштабных автоматизированных атак

  • Взаимосвязь между количеством и распространенностью эксплойтов свидетельствует о повышении степени автоматизации атак и снижении стоимости вредоносного ПО и инструментов распространения, доступных в глубоком Интернете. Организация атак стала проще и дешевле, чем когда-либо.
  • Первое место в списке выявленных эксплойтов, представляющих значительную опасность, занял SQL Slammer, главным образом поражающий образовательные учреждения.
  • Вторым по распространенности является эксплойт, свидетельствующий о попытках проведения атак на протокол удаленного рабочего стола (RDP) Microsoft методом подбора. Эксплойт запускает 200 запросов RDP каждые 10 секунд, чем объясняется его значительная активность в сетях глобальных организаций.
  • Третье место в списке самых распространенных эксплойтов заняла сигнатура, привязанная к уязвимости «Повреждение памяти» диспетчера файлов Windows. С помощью этой сигнатуры злоумышленник может удаленно запустить выполнение произвольного кода внутри уязвимых приложений с помощью файла JPG.
  • Наибольшие показатели численности и распространенности продемонстрировали семейства ботнетов H-Worm и ZeroAccess. С помощью обоих ботнетов киберпреступники берут зараженные системы под контроль и похищают данные либо занимаются мошенничеством с рекламными объявлениями и майнингом биткоинов. Наибольшее количество попыток проведения атак с помощью этих двух семейств ботнетов было зафиксировано в технологическом и государственном секторах.

Программы-вымогатели продолжают распространяться

  • Независимо от того, в какой отрасли промышленности они применяются, программы-вымогатели заслуживают внимания. Вероятнее всего, эта эффективная технология атак продолжит развитие в рамках концепции «программы-вымогатели как услуги» (RaaS). За счет этого потенциальные преступники, не обладающие соответствующими навыками, могут загрузить инструменты и незамедлительно применить их на практике.
  • 36% организаций зафиксировали активность ботнетов, связанную с применением программ-вымогателей. Наибольшую активность продемонстрировал троян TorrentLocker, на третьем месте оказался Locky.
  • Широкое распространение получило вредоносное ПО, принадлежащее двум семействам — Nemucod и Agent. 81,4 процента собранных образцов вредоносного ПО относится к этим двум семействам. Как известно, семейство Nemucod связано с программами-вымогателями.
  • Программы-вымогатели были выявлены во всех регионах и отраслях, однако наиболее широкое распространение они получили в учреждениях здравоохранения. Это весьма тревожная тенденция: под угрозой находятся данные пациентов, которые по сравнению с другими типами данных отличаются большей длительностью хранения и значимостью, что чревато серьезными последствиями.

Все новое — это хорошо забытое старое

  • Злоумышленники ничего не списывают со счетов. К сожалению, попыткам исправления и устранения недостатков устаревших устройств и программного обеспечения уделяется чрезмерное внимание, что негативно отражается на противодействии современным атакам, проводниками которых являются цифровые устройства.
  • 86% организаций зафиксировали атаки, которые используют уязвимости, существующие уже более десятилетия. Почти в 40% случаев целями становились еще более старые уязвимости.
  • В среднем на одну организацию приходится 10,7 уникальных эксплойтов-приложений. В 9 из 10 компаний были выявлены эксплойты, представляющие собой серьезную опасность.
  • В целом при сравнении средних показателей численности выявленных в каждом регионе мира уникальных эксплойтов, вредоносного ПО и семейств ботнетов наибольшее количество и разнообразие угроз в каждой категории наблюдается в Африке, на Ближнем Востоке и в Латинской Америке. Наиболее отчетливо эта тенденция проявляется в категории ботнетов.

Методология исследования

В отчете о всемирном исследовании угроз Fortinet представлены данные, собранные отделом FortiGuard Labs в 4-м квартале 2016 г. Сбор данных осуществлялся в глобальном, региональном, секторальном и организационном масштабах. В центре внимания находились три взаимосвязанных вида угроз: эксплойты-приложения, вредоносное программное обеспечение и ботнеты.

Дополнительные ресурсы

Об отделе FortiGuard Labs

Отдел FortiGuard Labs состоит более чем из 200 квалифицированных исследователей и аналитиков со всего мира. С помощью специально разработанных инструментов и технологий мирового класса исследователи выявляют и изучают новые угрозы, а также разрабатывают меры защиты от них. В состав команды входят профессиональные эксперты, занимающиеся исследованием всех критически важных областей, в том числе вредоносного программного обеспечения, ботнетов, мобильных угроз и уязвимостей «нулевого дня». Аналитики изучают коды и разрабатывают подписи, предназначенные для устранения угроз с помощью сервисов FortiGuard. Одновременно с этим разработчики технологий создают новые механизмы защиты для борьбы с постоянно развивающимися угрозами. В целях обеспечения безопасности более 300 000 клиентов сотрудники отдела FortiGuard Labs используют данные, собранные по всему миру. 

Материалы по теме:
Комментарии: